2015 yılının üçüncü çeyreği boyunca, Kaspersky Lab uzmanları Avustralya’daki mobil bankacılık saldırılarının sayısında alışılmadık bir artış tespit etmişti. Bu durum şüpheli görünüyordu ve kısa zaman sonra bu artışın temel nedeninin tek bir bankacılık Truva Atı olduğu anlaşıldı: Acecard.
Acecard Truva Atı ailesi, bir bankanın metin ve ses mesajlarını çalmaktan kişisel bilgileri ve hesap bilgilerini çalmak için resmi uygulama pencerelerini resmi oturum açma sayfasını taklit eden sahte mesajlarla kaplamaya kadar mevcut zararlı yazılım işlevlerinin neredeyse hepsini kullanıyor. Acecard ailesinin en son sürümleri, yaklaşık 30 banka ve ödeme sisteminin müşteri uygulamalarına saldırabiliyor. Bu Truva Atlarının komut üzerine herhangi bir uygulamayı taklit edebildiği düşünüldüğünde, saldırıya uğrayan finans uygulamalarının genel sayısı çok daha yüksek olabiliyor.
Acecard, bankacılık uygulamalarının yanı sıra, kimlik avı pencereleriyle aşağıdaki uygulamaları da taklit edebiliyor:
IM hizmetleri: WhatsApp, Viber, Instagram, Skype;
Sosyal ağlar: VKontakte, Odnoklassniki, Facebook, Twitter;
Gmail istemcisi;
PayPal mobil uygulaması;
Google Play ve Google Music uygulamaları.
İki yıldır uykudaydı
Bu zararlı yazılım ilk olarak Şubat 2014 tarihinde tespit edildi ancak uzun süre neredeyse hiç zararlı faaliyet belirtisi göstermedi. 2015 yılında Kaspersky Lab araştırmacıları saldırılarda ani bir yükseliş tespit ettiklerinde ise her şey değişti: Mayıs ile Aralık 2015 arasındaki süre boyunca 6.000’den fazla kullanıcı bu Truva Atının saldırısına uğradı. Bu kullanıcıların çoğu Rusya, Avustralya, Almanya, Avusturya ve Fransa’da yaşıyordu.
İki yıllık gözlem süresi boyunca Kaspersky Lab araştırmacıları, Truva Atının aktif gelişmesine tanık oldu. Bu zararlı yazılımın 10’dan fazla yeni sürümünü kaydettiler ve bunların her biri, bir öncekinden çok daha uzun bir zararlı işlevler listesine sahipti.
Mobil cihazlar genellikle yasal uygulama gibi görünen zararlı bir uygulamanın indirilmesinden sonra virüsten etkileniyordu. Acecard sürümleri genellikle Flash Player ya da PornoVideo olarak dağıtılıyordu ancak kullanışlı ve popüler yazılımları taklit etmek için bazen başka isimler de kullanılıyordu.
Ancak bu zararlı yazılımın dağıtılmasının tek yolu bu değildi. 28 Aralık 2015 tarihinde Kaspersky Lab uzmanları, Google Play store içerisinde Acecard’ı indiren Truva Atının yeni bir sürümünü keşfettiler: Trojan-Downloader.AndroidOS.Acecard.b. Truva Atı, bir oyun maskesi altında yayılıyor. Google Play’den zararlı yazılım kurulduğu zaman, kullanıcı masaüstü ekranında sadece bir Adobe Flash Player simgesi görüyor ve kurulan uygulamaya ilişkin hiçbir gerçek işaret görmüyor.
Kaspersky Lab ABD Kıdemli Zararlı Yazılım Analisti Roman Unuchek, “Bu siber suçlular grubu, bankacılık Truva Atı Acecard’ı yaymak için mevcut olan her yöntemi kullanıyor. Başka bir program maskesi altında, resmi uygulama mağazalarından veya başka Truva Atları aracılığıyla dağıtılabiliyor. Bu zararlı yazılımın dikkat çekici bir özelliği ise, 30’dan fazla bankacılık ve ödeme sisteminin yanı sıra, sosyal medya, anında mesajlaşma ve diğer uygulamaları da taklit edebiliyor olması. Acecard’ın yeteneklerinin ve yayılma yöntemlerinin kombinasyonu, bu mobil bankacılık riskini kullanıcıların bugüne kadar gördüğü en tehlikeli tehditlerden biri haline getiriyor,” diye kulanıcıları uyardı.
Virüsten etkilenmeyi önlemek için Kaspersky Lab aşağıdaki önlemleri tavsiye ediyor:
-Güvenilir değillerse ya da bu şekilde görünüyorlarsa, Google Play’den ya da dahili kaynaklardan herhangi bir uygulama indirmeyin ve/veya kurmayın;
-Belirli içeriği olan şüpheli web sitelerini ziyaret etmeyin ve şüpheli bağlantıları tıklatmayın;
-Antivirüs veritabanlarının güncel olduğundan ve doğru çalıştığından emin olun.